本文深入解析多Agent系统的三大叠加风险：角色、状态、权限，强调威胁建模需先明确系统边界（任务、数据、工具、权限）。核心资产识别与信任边界划分是关键，需关注Agent角色模型与权限继承风险。文章提出攻击面拆解的三层结构（入口、传播、执行）及注入传播链的五跳法建模，并给出阻断原则。同时，针对记忆与知识库污染、工具调用风险、数据外泄及指令优先级建模提供具体策略，最终实现从偶发事故到工程治理闭环的转型。

多Agent协同威胁建模

多Agent协同风险建模的首先要做的不是找规则，而是先回答系统到底在做什么。

没有边界定义时，会把不同问题混在一起讨论，越权、注入、泄露、误阻、可用性下降被放进同一个讨论框，最后每个都觉得自己讲得有道理，但没有一条动作能落地。

因此概念边界要至少覆盖四件事。

• 任务边界，系统被允许完成什么，不被允许完成什么
• 数据边界，什么数据可以读取，什么数据只能脱敏读取
• 工具边界，哪些工具可调用，调用到什么深度
• 权限边界，谁在什么条件下能触发高后果动作。

很多团队把边界写成口号，例如严格控制权限、优先安全。但是口号无法映射成策略引擎，研发就只能临时解释。临时解释在迭代中会迅速漂移，今天的默认拒绝可能在下周变成默认放行。边界必须写成字段化定义，才能映射成判定逻辑和日志字段。

边界定义还有一个容易忽略的价值，就是减少跨团队误解。业务团队需要知道安全限制是否影响交付，平台团队需要知道策略落地成本，运维团队需要知道异常时怎么降级。

只有在边界清晰时，协作语言会统一，决策速度明显提升。

多Agent协同资产识别

威胁建模如果不从资产开始，最后会变成泛泛而谈。

在多Agent系统至少要识别六类核心资产，即任务目标、身份凭证、敏感数据、工具权限、中间状态、审计记录。

识别资产后必须画信任边界。常见边界包括用户输入边界、代理消息边界、外部工具边界、检索内容边界、持久化存储边界等。

每条边界都要明确定义写入者、读取者、转发者、执行者，如果边界责任未绑定到角色时，异常出现后常见现象是责任漂移，导致处置时间大幅拉长。

实践中高频错误是把所有输入当同等级来源。用户文本、网页抓取、插件输出、历史缓存在可信度上完全不同，却被拼接到同一上下文，让模型自行判断优先级。攻击者只要控制最低可信来源，就可能借由拼接路径影响高后果动作判定。

Agent角色模型与权限继承风险

与上一篇的Agent权限分配一样，多Agent协同不是多个聊天窗口并排，而是多角色联合执行系统。

常见角色包括调度代理、检索代理、执行代理、验证代理、审计代理。必须看角色组合后的权限流，而不是只看单个代理的局部能力。

权限继承是多Agent里最容易被忽略的高风险点，调度代理通常会把上游上下文直接转给下游执行代理，如果上游上下文中有恶意目标重写内容，下游可能在合法权限范围内执行错误任务。表面是正常执行，实质是目标被劫持，属于完整性破坏。

同时角色模型还要补信道属性。消息是否结构化，是否可签名，是否可重放，是否可追溯。很多系统只画角色关系图，不画信道属性，导致评审时看起来完整，实际执行时无法解释传播路径和阻断位置。

攻击面拆解,从入口到高后果动作

在攻击面建模要先把路径拆细。多Agent场景至少有五类入口，用户文本输入、外部网页内容、插件返回数据、历史记忆回放、跨代理消息注入。

在实际业务中，最危险的不是明显恶意输入，而是看似合理的辅助说明。攻击者会把恶意意图埋入步骤建议、格式要求、上下文提示，让调度代理误当作高质量补充信息。进入任务链后，恶意内容会被多次复述，可信度被持续抬高。

因此对攻击面拆解可使用三层结构。

在入口层看载荷如何进入，传播层看载荷如何在代理间流动，同时执行层看载荷如何触发高后果动作。

三层都要有可观测点和阻断点，仅在入口层布控，会被内部传播绕开。仅在执行层布控，会增加误阻和处置成本。

每条攻击路径都要附失败安全设计。即使检测模型漏判，也要让关键动作需要二次确认，关键数据需要字段级白名单，关键令牌需要短时失效。

注入传播链建模，为什么一次漏判会放大

在论文arXiv2403.04957中，提出了一个很重要的点，跨Agent传播：攻击内容进入一个Agent后，会在任务分解和消息转发过程中被复制，复制次数越多，后续节点越难判断原始来源。最终即便单个节点防护能力不弱，也可能在链路组合下被击穿。

对传播链建模可采用五跳法。第一跳外部载荷进入、第二跳调度代理复述、第三跳执行代理采信、第四跳工具调用放大、第五跳结果回写污染。五跳法的价值是把复杂攻击拆成可测试单元，每一跳都能设计样本与门禁。

在传播链里最脆弱的往往是摘要环节：Agent为了节省上下文会压缩信息，压缩过程中恶意指令可能被重写成更像系统要求的语句。因此下游看到的是二次加工文本，原始证据已经丢失，检测难度明显上升。

阻断传播必要时可坚持三原则

• 源头可标记，跨边界可验证，高后果可确认
• 源头标记解决来源不明。跨边界验证解决传递失真
• 高后果确认解决最后一跳放大

记忆与知识库污染建模

多Agent系统为了提高效率会引入长期记忆和共享知识库，这一步同时打开了持久化攻击面。通过论文arXiv2407.12784，攻击者即使只污染少量样本，也可能在特定触发词出现时稳定诱导代理执行偏离任务目标的动作。

记忆污染的危害在于隐蔽和持续。输入层攻击通常随会话结束而衰减，记忆层污染会跨会话保留。若只监控在线输入，常误判为风险已消失，实际上污染已经迁移到存储层，等到高后果任务触发再集中爆发。

记忆与知识库建模时应拆成写入前、存储中、召回后三段控制。写入前做来源标记和异常扫描、存储中做版本隔离和过期清理，召回后做任务一致性校验和敏感字段再过滤。这三段如果缺一，记忆模块就会从效率组件转为攻击扩散器。

除此之外，还要单独建模缓存层。很多系统把缓存当临时数据，不设严格治理，但缓存最容易被跨任务误用。

工具调用风险建模

多Agent系统进入工具调用环节后，风险会从文本层进入动作层。文本层误判造成的是答案偏差，动作层误判可能直接导致高后果事件，例如误发邮件、误删记录、误改权限。

工具调用威胁建模要关注四类风险：参数污染、工具错选、调用越界、结果伪造。

• 参数污染指合法工具被喂入恶意参数
• 工具错选指任务目标正确但调用了错误工具。
• 调用越界指权限范围外执行
• 结果伪造指外部工具返回被注入的诱导文本。

在调用前后分别设置策略门。调用前门检验任务一致性、参数合法性、权限最小化，调用后门检验返回内容可信度、敏感信息暴露和可执行指令污染。同时对于高后果工具，必须加入显式审批和限流。

数据外泄建模

数据外泄在多Agent系统里通常不是直接窃取，而是任务过程中逐步拼接形成。Agent会先合法读取局部敏感字段，再在后续环节组合输出。若模型只控制读取权限而不控制转发权限，外泄会在合法链路中发生，难以及时察觉。

外泄建模可采用用数据流图法。标注敏感数据首次出现点、跨代理转发点、外部出口点，出口不仅是外部接口，也包括日志、调试面板、告警通道。

在控制上要同时执行最小可见和最小可转发。最小可见要求代理只见当前动作必需字段以及最小可转发要求跨代理输出走字段白名单。

同时对于高敏数据，可增加脱敏与过期双策略。默认输出脱敏值，完整值只在短时审批窗口可用，并在任务结束后自动失效。

指令优先级建模

多Agent协同里冲突是常态，。当组织策略、任务约束、用户请求、外部内容常同时存在。若没有优先级建模，Agent会把它们当成同级信息处理，攻击者就能通过语气强化或格式诱导覆盖原有限制。

优先级模型可固定为四层。组织策略最高，任务边界次之，用户目标再次，外部内容最低。每次冲突都要输出可解释裁决结果，并写入审计。

在实践中，优先级应由独立求解模块实现，不要只放在提示词里。提示词属于软约束，求解模块属于硬约束。硬约束可以做单元测试和回归门禁，能抵抗版本漂移。

同时在版本升级时必须做冲突回归。新增代理或新工具接入后，隐式优先关系很容易变化，若不做回归，旧问题会在新路径复发。冲突回归样本应该覆盖高后果动作、历史事故样本和跨语言变体等。

总结

多Agent协同风险不是单点漏洞问题，而是跨角色、跨消息、跨工具的链路风险问题，真正需要威胁建模的是谁在什么边界内读写什么信息、通过什么信道影响下游决策、最终如何触发高后果动作，并围绕入口、传播、执行、回写四段建立可验证的控制点与证据链，这样才能把注入扩散、权限继承、记忆污染和数据外泄从偶发事故转成可度量、可阻断、可复验的工程治理闭环。

如何学习大模型 AI ？

由于新岗位的生产效率，要优于被取代岗位的生产效率，所以实际上整个社会的生产效率是提升的。

但是具体到个人，只能说是：

“最先掌握AI的人，将会比较晚掌握AI的人有竞争优势”。

这句话，放在计算机、互联网、移动互联网的开局时期，都是一样的道理。

我在一线科技企业深耕十二载，见证过太多因技术卡位而跃迁的案例。那些率先拥抱 AI 的同事，早已在效率与薪资上形成代际优势，我意识到有很多经验和知识值得分享给大家，也可以通过我们的能力和经验解答大家在大模型的学习中的很多困惑。我们整理出这套 AI 大模型突围资料包：

• ✅ 从零到一的 AI 学习路径图
• ✅ 大模型调优实战手册（附医疗/金融等大厂真实案例）
• ✅ 百度/阿里专家闭门录播课
• ✅ 大模型当下最新行业报告
• ✅ 真实大厂面试真题
• ✅ 2026 最新岗位需求图谱

所有资料 ⚡️ ，朋友们如果有需要 《AI大模型入门+进阶学习资源包》，下方扫码获取~

① 全套AI大模型应用开发视频教程

（包含提示工程、RAG、LangChain、Agent、模型微调与部署、DeepSeek等技术点）

② 大模型系统化学习路线

作为学习AI大模型技术的新手，方向至关重要。 正确的学习路线可以为你节省时间，少走弯路；方向不对，努力白费。这里我给大家准备了一份最科学最系统的学习成长路线图和学习规划，带你从零基础入门到精通！

③ 大模型学习书籍&文档

学习AI大模型离不开书籍文档，我精选了一系列大模型技术的书籍和学习文档（电子版），它们由领域内的顶尖专家撰写，内容全面、深入、详尽，为你学习大模型提供坚实的理论基础。

④ AI大模型最新行业报告

2025最新行业报告，针对不同行业的现状、趋势、问题、机会等进行系统地调研和评估，以了解哪些行业更适合引入大模型的技术和应用，以及在哪些方面可以发挥大模型的优势。

⑤ 大模型项目实战&配套源码

学以致用，在项目实战中检验和巩固你所学到的知识，同时为你找工作就业和职业发展打下坚实的基础。

⑥ 大模型大厂面试真题

面试不仅是技术的较量，更需要充分的准备。在你已经掌握了大模型技术之后，就需要开始准备面试，我精心整理了一份大模型面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

以上资料如何领取？

为什么大家都在学大模型？

最近科技巨头英特尔宣布裁员2万人，传统岗位不断缩减，但AI相关技术岗疯狂扩招，有3-5年经验，大厂薪资就能给到50K*20薪！

不出1年，“有AI项目经验”将成为投递简历的门槛。

风口之下，与其像“温水煮青蛙”一样坐等被行业淘汰，不如先人一步，掌握AI大模型原理+应用技术+项目实操经验，“顺风”翻盘！

这些资料真的有用吗？

这份资料由我和鲁为民博士(北京清华大学学士和美国加州理工学院博士)共同整理，现任上海殷泊信息科技CEO，其创立的MoPaaS云平台获Forrester全球’强劲表现者’认证，服务航天科工、国家电网等1000+企业，以第一作者在IEEE Transactions发表论文50+篇，获NASA JPL火星探测系统强化学习专利等35项中美专利。本套AI大模型课程由清华大学-加州理工双料博士、吴文俊人工智能奖得主鲁为民教授领衔研发。

资料内容涵盖了从入门到进阶的各类视频教程和实战项目，无论你是小白还是有些技术基础的技术人员，这份资料都绝对能帮助你提升薪资待遇，转行大模型岗位。

以上全套大模型资料如何领取？